恶意代码分析实战1-2

于 2021-08-26 11:26:09 发布
阅读量123 收藏
点赞数
分类专栏: 恶意代码分析实战 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/119927675
版权

恶意代码分析实战1-2

Lab1-2

image-20210826074524246

问题1

image-20210826074752299

发现有51个引擎报毒

问题2

用工具PEid分析,如下图,发现该文件是由UPX工具进行加壳的

image-20210826074908667

利用FreeUpx工具进行脱壳处理

image-20210826103130634

脱壳后在查看

image-20210826103206016

问题3

查看导入函数列表:

image-20210826104241148

OpenMutexA:打开一个互斥

CreateMutexA:创建一个互斥

CreateThread:创建一个线程

image-20210826104617865

CreateServiceA:创建一个服务

image-20210826105628277

连接网络的函数

可以初步确定 该程序是要连接一个网站

问题4

用strings查看文件中可打印的字符

image-20210826110327016

发现该程序会连接到一个网址,该网址可用作基于网络的迹象

Hummer-200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程、线程同步互斥学习 —— 互斥器
Jovi’s Blog
06-26 474
进程、线程同步互斥学习 —— 互斥器介绍以及封装
恶意代码分析实战课后练习题
11-04
2. **静态分析**:学习如何通过反汇编器和十六进制编辑器查看恶意代码的原始二进制形式,识别可疑函数和字符串,以及使用工具进行签名匹配和代码相似性分析。 3. **动态分析**:设置沙箱环境,观察恶意软件在实际...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 408
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战 第七章课后实验
Stronger_99的博客
04-12 665
看一下字符串: 然后分析主函数: 这个main函数很简短,看到了StartServiceCtrlDispatcherA函数,这个函数是来实现一个服务,并且指定了要调用的函数就是sub_401040,双击进去看一下: 发现这里调用了一个OpenMutexA函数,这个函数会尝试获取"HGL345"这个互斥量,获取到就说明已经有一个恶意程序在运行了,则调用ExitProcess...
恶意代码分析实战 Lab 7-1 习题笔记
isinstance的博客
09-20 1718
Lab 7-1问题1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)解答: 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数,会操作一个互斥量和一个线程还有这些好玩的函数,比如SetWaitableTimer,这是由于设置一个定时的函数,可以在时间到来的时候发出一个信号来激活一个线程然后就是Sleep,这个说明这个
程序单例运行
把梦想放飞在蓝色的天空里...
10-10 716
只运行同一个程序运行一个
恶意代码分析实战
03-07
"恶意代码分析实战"这个主题旨在帮助专业人士掌握如何识别、分析并防范这些威胁。通过对恶意代码的剖析,我们可以了解其工作原理,从而设计出更有效的防御策略。 恶意代码通常伪装成正常程序,诱使用户下载或执行,...
基于机器学习的android恶意代码检测(n-gram opcode + RandomForest).zip
最新发布
06-12
基于机器学习的android恶意代码检测(n-gram opcode + RandomForest).zip本资源中的源码都是经过本地编译过可运行的,评审分达到95分以上。资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、...
Python项目开发实战_恶意代码删除_编程案例解析实例详解课程教程.pdf
05-02
Python项目开发实战恶意代码删除】 在编程领域,尤其是涉及到网络和服务器管理时,确保代码的安全性至关重要。本项目专注于使用Python进行恶意代码的删除,这是一个实际操作中经常遇到的问题,因为网页或HTML...
Python应用实战代码-Python爬取新房数据
07-21
在这个实战项目中,我们将学习到以下几个核心知识点: 1. **Python基础**:首先,你需要对Python的基础语法有基本了解,包括变量、数据类型、条件语句、循环、函数等。这将为你编写爬虫代码打下坚实基础。 2. **...
27.mutex跨进程通信
weixin_30455023的博客
02-03 220
创建互斥量mutex 1 HANDLE mutex = CreateMutexA(NULL, TRUE, name); 根据id打开mutex 1 HANDLE mutex = OpenMutexA(MUTEX_ALL_ACCESS,TRUE,name); 监听 1 DWORD res = WaitForSingleObject(mutex, ...
Windows进程同步之互斥量内核对象(Mutex
jishublog
06-12 532
我们知道进程间的同步操作都是要借助内核来完成的,和同一个进程中的线程同步只需要在用户模式下是有很大差别的,当然,对于进程安全的,对于线程肯定也是安全的,但在用户模式下的线程同步所需消耗的代价相对于通过内核完成的同步是很小的。所以不要利用进程同步的方式来进行同一进程中线程的同步。 这里先讨论进程同步的方式之一:互斥量(Mutex)。 互斥量内核对象能够确保一个进程独占对一个资源的访问。互斥量...
delphi中CreateMutexOpenMutex使用一例
03-17 1万+
VC声明HANDLE CreateMutex(  LPSECURITY_ATTRIBUTES lpMutexAttributes, // SD  BOOL bInitialOwner, // initial owner  LPCTSTR lpName // object name  );delphi声明:function CreateMutex(lpMutexAttri
Windows下C++实现进程间同步
热门推荐
bajianxiaofendui的博客
11-26 1万+
Windows下C++实现进程间同步一,方法介绍二,踩过的坑三,正确方式(附代码) 多线程同步在平常的使用中很常见,可以通过临界区,互斥量,事件等来实现,具体的选择依赖于不同的使用场景。但是进程同步使用的比较少,网上查找资料,也多是以多线程使用来讲解的,并不详细。刚好自己正在做一个升级程序,主程序是一个进程,升级程序是一个进程,我把所有的与升级服务端的交互全部放在了升级程序中,所以当升级程序从服务...
线程同步
onthemoon的专栏
04-26 1430
互斥(Mutex)是一种用途非常广泛的内核对象。能够保证多个线程对同一共享资源的互斥访问。同临界区有些类似,只有拥有互斥对象的线程才具有访问资源的权限,由于互斥对象只有一个,因此就决定了任何情况下此共享资源都不会同时被多个线程所访问。当前占据资源的线程在任务处理完后应将拥有的互斥对象交出,以便其他线程在获得后得以访问资源。与其他几种内核对象不同,互斥对象在操作系统中拥有特殊代码,并由操作系统来管理
C++ 经典线程同步互斥量Mutex 示例解析(十二)
SelfImprovement
03-10 4582
在windows系统中,系统本身为我们提供了很多锁。通过这些锁的使用,一方面可以加强我们对锁的认识,另外一方面可以提高代码的性能和健壮性。常用的锁以下四种: 临界区:C++ 关键段(Critical Section)CS深入浅出 之多线程(七) event :C++ 经典线程同步 事件Event(九) 信号量:信号量是使用的最多的一种锁结果,也是最方便的一种锁。围绕着信号量,人们提出
SQL注入实战:sqli-labs实验详解
SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意SQL代码来获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。在sqli-labs实验中,我们可以系统地学习这一攻击手段。 首先,我们需要识别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值